Microsoft Defender for Identity のロール グループ
Microsoft Defender for Identity は、組織固有のセキュリティとコンプライアンスのニーズに応じてデータを保護するためのロール ベースのセキュリティを提供します。 役割グループを使用して Defender for Identity へのアクセスを管理し、セキュリティ チーム全体で責任を分離し、ユーザーが自分の仕事をするために必要なアクセス権の量のみを付与することをお勧めします。
統合されたロールベースのアクセス制御 (RBAC)
すでにテナントの Microsoft Entra ID の全体管理者またはセキュリティ管理者になっているユーザーは、自動的に Defender for Identity の管理者にもなります。 Microsoft Entra グローバル およびセキュリティ管理者は、Defender for Identity にアクセスするために追加のアクセス許可は必要ありません。
その他のユーザーについては、カスタム ロールを作成し、セキュリティ オペレーターやセキュリティ閲覧者などの追加の Entra ID ロールを既定でサポートして Defender for Identity へのアクセスを管理するには、Microsoft 365 ロールベースのアクセス制御 (RBAC) を有効にし、それを使用する必要があります。
カスタム役割を作成するときは、次の表に示すアクセス許可を必ず適用してください。
Defender for Identity アクセス レベル | 最低限必要な Microsoft 365 の統合 RBAC アクセス許可 |
---|---|
管理者 | - Authorization and settings/Security settings/Read - Authorization and settings/Security settings/All permissions - Authorization and settings/System settings/Read - Authorization and settings/System settings/All permissions - Security operations/Security data/Alerts (manage) - Security operations/Security data /Security data basics (Read) - Authorization and settings/Authorization/All permissions - Authorization and settings/Authorization/Read |
ユーザー | - Security operations/Security data /Security data basics (Read) - Authorization and settings/System settings/Read - Authorization and settings/Security settings/Read - Security operations/Security data/Alerts (manage) - microsoft.xdr/configuration/security/manage |
閲覧者 | - Security operations/Security data /Security data basics (Read) - Authorization and settings / System settings (Read and manage) - Authorization and settings / Security setting (All permissions) |
詳細については、「Microsoft Defender XDR のロールベースのアクセス制御におけるカスタム役割」および「Microsoft Defender XDR 統合 RBAC を使用してカスタム役割を作成する」を参照してください。
Note
Defender for Cloud Apps アクティビティ ログに含まれる情報には、Defender for Identity データが含まれている場合があります。 このコンテンツは、既存の Defender for Cloud Apps のアクセス許可に準拠しています。
例外: Microsoft Defender for Cloud Apps ポータルで Microsoft Defender for Identity アラートの範囲を限定した展開を構成した場合、これらのアクセス許可は引き継がず、関連するポータル ユーザーに対して \ Security data \ Security data basics (read) permissions を明示的に付与する必要があります。
Microsoft Defender XDR の Defender for ID に要求されるアクセス許可
次の表では、Microsoft Defender XDR の Defender for Identity アクティビティに必要な特定のアクセス許可について 詳しく説明します。
重要
Microsoft は、アクセス許可が最も少ないロールを使用することを推奨しています。 これにより、組織のセキュリティが向上します。 グローバル管理者は高い特権を持つロールであり、既存のロールを使用できない場合の緊急シナリオに限定する必要があります。
アクティビティ | 最低限必要なアクセス許可 |
---|---|
Defender for Identity をオンボードします (ワークスペースを作成します) | セキュリティ管理者 |
ID 設定 の Defender を構成する | 次の Microsoft Entra ロールのうちのひとつ: - セキュリティ管理者 - セキュリティ オペレーター Or 次の統合 RBAC アクセス許可: - Authorization and settings/Security settings/Read - Authorization and settings/Security settings/All permissions - Authorization and settings/System settings/Read - Authorization and settings/System settings/All permissions |
ID 設定 の Defender を表示する | 次の Microsoft Entra ロールのうちのひとつ: - グローバル閲覧者 - Security Reader Or 次の統合 RBAC アクセス許可: - Authorization and settings/Security settings/Read - Authorization and settings/System settings/Read |
Defender for Identity セキュリティのアラートとアクティビティを管理する | 次の Microsoft Entra ロールのうちのひとつ: - セキュリティ オペレーター Or 次の統合 RBAC アクセス許可: - Security operations/Security data/Alerts (Manage) - Security operations/Security data /Security data basics (Read) |
Defender for Identity のセキュリティ評価を表示する (Microsoft Secure Score の一部になりました) |
Microsoft Secure Score にアクセスするためのアクセス許可 And 次の統合 RBAC アクセス許可: Security operations/Security data /Security data basics (Read) |
[資産/ID] ページを表示する | Defender for Cloud Apps にアクセスするためのアクセス許可 Or Microsoft Defender XDR で必要とされる Microsoft Entra ロールの 1 つ |
Defender for Identity 応答アクションを実行する | 応答 (管理) のアクセス許可で定義されたカスタム ロール Or 次の Microsoft Entra ロールのうちのひとつ: - セキュリティ オペレーター |
Defender for Identity セキュリティ グループ
Defender for Identity には、Defender for Identity リソースへのアクセスを管理するのに役立つ次のセキュリティ グループが用意されています。
- Azure ATP (ワークスペース名) 管理者
- Azure ATP (ワークスペース名) ユーザー
- Azure ATP (ワークスペース名) ビューアー
次の表に、各セキュリティ グループが実行可能なアクションを示します。
アクティビティ | Azure ATP (ワークスペース名) 管理者 | Azure ATP (ワークスペース名) ユーザー | Azure ATP (ワークスペース名) ビューアー |
---|---|---|---|
正常性の問題の状態を変更する | 使用可能 | 使用不可 | 使用不可 |
セキュリティ アラートの状態を変更する (再度開く、閉じる、除外する、抑制する) | 使用可能 | 使用可能 | 使用不可 |
ワークスペースの削除 | 使用可能 | 使用不可 | 使用不可 |
レポートのダウンロード | 使用可能 | 利用可能 | 使用可能 |
サインイン | 使用可能 | 利用可能 | 使用可能 |
セキュリティ アラートの共有/エクスポート (Email、リンクの取得、詳細のダウンロード) | 使用可能 | 利用可能 | 使用可能 |
Defender for Identity 構成の更新 (更新) | 使用可能 | 使用不可 | 使用不可 |
Defender for Identity 構成の更新 (機密性が高いもの、およびハニートークンを含むエンティティ タグ) | 使用可能 | 使用可能 | 使用不可 |
Defender for Identity 構成の更新 (除外) | 使用可能 | 使用可能 | 使用不可 |
Defender for Identity 構成の更新 (言語) | 使用可能 | 使用可能 | 使用不可 |
Defender for Identity 構成の更新 (Email と syslog を含む通知) | 使用可能 | 使用可能 | 使用不可 |
Defender for Identity 構成の更新 (プレビュー検出) | 使用可能 | 使用可能 | 使用不可 |
Defender for Identity 構成の更新 (スケジュールされたレポート) | 使用可能 | 使用可能 | 使用不可 |
Defender for Identity 構成の更新 (ディレクトリ サービス、SIEM、VPN、Defender for Endpointを含むデータ ソース) | 使用可能 | 使用不可 | 使用不可 |
Defender for Identity 構成の更新 (ソフトウェアのダウンロード、キーの再生成、構成、削除を含むセンサー管理) | 使用可能 | 使用不可 | 使用不可 |
エンティティ プロファイルとセキュリティ アラートを表示する | 使用可能 | 利用可能 | 使用可能 |
ユーザーの追加および削除
Defender for Identity は、役割グループの基礎として Microsoft Entra セキュリティ グループを使用します。
Azure portal の [グループ管理] ページから役割グループを管理します。 セキュリティ グループに追加または削除できるのは、Microsoft Entra ユーザーだけです。